กฎหมาย AI ใน EU ใช้เต็มรูปแบบสิงหาคมนี้ ส่งผลกระทบต่อธุรกิจไทยอย่างไร? ประเทศไทยทำอะไรกับกฎหมาย AI แล้วบ้าง?
ปี 2026 กลายเป็นจุดเปลี่ยนสำคัญของการกำกับดูแล AI ทั่วโลก เพราะ EU AI Act กำลังเข้าสู่ช่วงบังคับใช้เต็มรูปแบบ โดยเฉพาะข้อกำหนดสำหรับระบบ AI ที่มีความเสี่ยงสูงและโมเดล AI แบบ General-Purpose AI (GPAI) ซึ่งจะเริ่มส่งผลชัดเจนตั้งแต่เดือนสิงหาคม 2026 เป็นต้นไป
การเปลี่ยนแปลงนี้ไม่ใช่แค่เรื่องกฎหมายของยุโรป แต่เป็นการวางมาตรฐานใหม่ของการกำกับดูแล AI ที่ส่งผลกระทบข้ามพรมแดน ปลี่ยนวิธีคิดเกี่ยวกับ AI Governance จากเรื่องทางเทคนิค มาเป็นประเด็นการบริหารความเสี่ยงระดับองค์กรและระดับชาติ
สำหรับธุรกิจไทยที่ให้บริการลูกค้าในยุโรป หรือใช้ AI ที่เกี่ยวข้องกับตลาดยุโรป กฎหมายฉบับนี้ไม่ใช่เรื่องไกลตัวอีกต่อไป แต่เป็นประเด็นด้าน compliance ที่ต้องเตรียมรับมืออย่างจริงจัง
EU AI Act คืออะไร?
EU AI Act คือกรอบกฎหมายด้าน AI ฉบับแรกของโลกที่วางระบบกำกับดูแลตั้งแต่การพัฒนา การนำไปใช้ ไปจนถึงการตรวจสอบและและบทลงโทษ โดยหัวใจของกฎหมายนี้คือแนวคิดแบบ Risk-Based Approach ซึ่งแบ่งระบบ AI ตามระดับความเสี่ยงโดยกำหนดภาระหน้าที่แตกต่างกันออกไป แนวทางนี้ทำให้ AI ที่มีผลกระทบสูงต่อสิทธิ เสรีภาพ และความปลอดภัยของผู้คนถูกควบคุมเข้มกว่าระบบที่มีความเสี่ยงต่ำ
กฎหมายฉบับนี้ยังสะท้อนว่าการกำกับ AI ไม่ได้มองแค่เทคโนโลยี แต่เน้นเรื่องความรับผิดชอบ ความโปร่งใส และการตรวจสอบได้ขององค์กรที่นำ AI มาใช้ จึงไม่น่าแปลกที่หลายองค์กรเริ่มมอง AI Governance เป็นส่วนหนึ่งของการบริหารความเสี่ยงระดับบอร์ด ไม่ใช่แค่เรื่องของทีมไอทีหรือทีมกฎหมาย
4 ระดับความเสี่ยงของ AI
EU AI Act แบ่ง AI ออกเป็น 4 ระดับหลัก ซึ่งแต่ละระดับมีข้อกำหนดต่างกันชัดเจน
- Unacceptable Risk — ความเสี่ยงที่ยอมรับไม่ได้ — ห้ามใช้: ระบบที่ถูกห้ามโดยเด็ดขาด เช่น social scoring, การใช้เทคนิคชักจูงเชิงบิดเบือน, หรือการจดจำใบหน้าแบบเรียลไทม์ในที่สาธารณะภายใต้ข้อยกเว้นจำกัด
- High Risk — ความเสี่ยงสูง — ต้องปฏิบัติตามข้อกำหนดเข้มงวด: ระบบที่ส่งผลต่อชีวิตคนโดยตรง เช่น การคัดเลือกบุคลากร การให้คะแนนเครดิต การศึกษา โครงสร้างพื้นฐาน และกระบวนการด้านกฎหมายหรือบังคับใช้กฎหมาย
- Limited Risk — ความเสี่ยงจำกัด — ต้องเปิดเผยข้อมูล: ระบบที่ต้องเปิดเผยข้อมูลแก่ผู้ใช้ เช่น แชตบอตหรือคอนเทนต์ที่สร้างด้วย AI ต้องมีการแจ้งให้ทราบอย่างชัดเจน
- Minimal Risk—ความเสี่ยงต่ำ — ไม่มีข้อจำกัดเพิ่มเติม: ระบบทั่วไปที่มีความเสี่ยงต่ำ เช่น spam filters หรือระบบแนะนำสินค้า มักไม่มีข้อกำหนดเพิ่มเติมมากนัก
โครงสร้างนี้ทำให้องค์กรต้องเริ่มจากการรู้ว่า AI ของตัวเองอยู่ในกลุ่มใด ก่อนจะคิดเรื่องนโยบาย เอกสาร และการควบคุมความเสี่ยงในขั้นต่อไป
สิ่งที่ธุรกิจต้องเตรียม
เมื่อ EU AI Act บังคับใช้เต็มรูปแบบ องค์กรที่ใช้ AI ในบริบทความเสี่ยงสูงจะต้องมีระบบกำกับดูแลที่เข้มขึ้น ทั้งการประเมินความเสี่ยง เอกสารทางเทคนิค การทดสอบความแม่นยำ การกำกับโดยมนุษย์ และการติดตามผลต่อเนื่อง ในฝั่งของโมเดล AI ทั่วไปหรือ GPAI ผู้ให้บริการต้องเปิดเผยข้อมูลสำคัญบางส่วน เช่น สรุปข้อมูลฝึกสอน และกรณีที่มีความเสี่ยงเชิงระบบต้องมีการแจ้งหน่วยงานกำกับของสหภาพยุโรป
ประเด็นสำคัญคือเรื่อง accountability (ความรับผิดชอบ) ไม่ได้อยู่แค่ในฝ่ายปฏิบัติการอีกต่อไป แต่โยงไปถึงผู้บริหารและคณะกรรมการองค์กรด้วย เพราะการประเมินผลกระทบก่อนใช้งาน AI กลายเป็นหนึ่งในจุดที่ต้องแสดงให้เห็นอย่างตรวจสอบได้ นี่คือเหตุผลที่การทำ AI Governance ต้องผูกกับโครงสร้างการตัดสินใจขององค์กร ไม่ใช่แค่การตั้ง policy แบบสัญลักษณ์
ผลกระทบต่อธุรกิจไทย
แม้ EU AI Act จะเป็นกฎหมายของยุโรป แต่ผลของมันสามารถข้ามพรมแดนได้เหมือน GDPR โดยเฉพาะหากธุรกิจไทยให้บริการลูกค้าใน EU ใช้ AI output ในยุโรป หรืออยู่ในห่วงโซ่อุปทานของลูกค้าฝั่งยุโรป ในทางปฏิบัติ หมายความว่าแม้บริษัทจะตั้งอยู่ในไทย ก็อาจถูกคู่ค้าหรือผู้ว่าจ้างในยุโรปบังคับให้พิสูจน์ความพร้อมด้าน compliance
สำหรับธุรกิจที่มีการใช้ AI ในการคัดกรองข้อมูลลูกค้า ตัดสินใจด้านเครดิต จัดการบุคลากร หรือดูแลบริการสำคัญ การปรับตัวควรเริ่มตั้งแต่ตอนนี้ เพราะความเสี่ยงไม่ใช่แค่ค่าปรับ แต่รวมถึงความเสียหายต่อชื่อเสียง ความเชื่อมั่นของลูกค้า และต้นทุนการแก้ไขย้อนหลัง ยิ่งองค์กรใช้ AI หลายจุดพร้อมกัน ยิ่งต้องมีมาตรฐานเดียวกันในการประเมินความเสี่ยงและควบคุมการใช้งาน
กฎหมาย AI ไทยกำลังเดินไปทางไหน?
เมื่อเทียบกับสหภาพยุโรป ไทยยังอยู่ในช่วงพัฒนาแนวทางกำกับดูแล AI ปัจจุบันไทยมี Thailand AI Ethics Guideline (จัดทำโดย กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) และ NSTDA AI Ethics Guideline (จัดทำโดย สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ)เป็นแนวทาง สมัครใจ (Voluntary) ไม่มีบทลงโทษทางกฎหมาย แต่ให้คำแนะนำเกี่ยวกับการใช้ AI อย่างมีจริยธรรม
แม้กฎหมาย AI ของไทยยังไม่เข้มเท่ายุโรป แต่ทิศทางนั้นชัดเจนว่าองค์กรไทยควรเริ่มวางระบบ AI Governance ตั้งแต่วันนี้ โดยเฉพาะถ้ามีแผนขยายตลาดสู่ต่างประเทศหรือใช้เทคโนโลยี AI จากผู้ให้บริการระดับโลก ในเชิงกลยุทธ์ องค์กรที่พร้อมก่อนย่อมได้เปรียบทั้งในมุม compliance และความน่าเชื่อถือทางธุรกิจ
จุดเริ่มต้นสำหรับองค์กร
องค์กรที่ต้องการเตรียมตัวไม่จำเป็นต้องเริ่มจากการเขียนนโยบายยาวๆ แต่ควรเริ่มจาก 4 ขั้นพื้นฐาน ได้แก่ Risk Assessment, Impact Assessment, Mitigation Measures และ Monitoring & Documentation วิธีนี้ช่วยให้เห็นว่า AI ตัวใดมีความเสี่ยงสูง, ส่งผลต่อใครบ้าง, ต้องควบคุมอย่างไร และจะตรวจสอบย้อนหลังได้แค่ไหน
ณ วันนี้ EU AI Act จึงไม่ได้เป็นเพียงกฎหมายของยุโรป แต่เป็นมาตรฐานใหม่ของความรับผิดชอบด้าน AI ที่ธุรกิจทั่วโลกควรใช้เป็นแนวทางอ้างอิง องค์กรที่เริ่มปรับตัวตั้งแต่ตอนนี้จะไม่เพียงพร้อมต่อกฎหมาย แต่ยังพร้อมต่อความคาดหวังของตลาดในยุค AI ที่โปร่งใสและตรวจสอบได้มากขึ้น
ข้อมมูลจาก https://enersys.co.th/th/insights/eu-ai-act-global-regulation-2026, https://www.coraline.co.th/single-post/ai-governance-2026-eu-ai-act-enforcement, https://law.utcc.ac.th/blogs/ai-law-comparison-thailand-eu/
